摘要:相比之前的变化内置加密算法,可以配置不同的加密不再绑定,通过配置即可使用加解密框架也可以支持支持用户自定义加密算法地址示例代码没有发布到中央仓库,只发布到这个仓库,大家也可以自行下载源码打包传到自己公司的私服上。
之前有写过一篇加密的文章《前后端API交互如何保证数据安全性》。主要是在Spring Boot中如何对接口的数据进行自动加解密操作,通过注解的方式来指定是否需要加解密。
原理也很简单,通过Spring提供的RequestBodyAdvice和ResponseBodyAdvice就可以对请求响应做处理。
本来也是打算更新一下的,因为在Spring Cloud Zuul中也需要加解密,我的那个封装就用不了。
恰巧上周肥朝大佬跟我聊了下,提供了一些非常有用的建议,于是周六花了一天时间重构了一下加密的框架,不再以Spring Boot Starter的方式提供服务,直接是一个jar包,基于Servlet层面来对数据进行加解密处理。
相比之前的变化:
内置AES加密算法,可以配置不同的加密key
不再绑定Spring Boot,通过配置Filter即可使用加解密
Spring Cloud Zuul框架也可以支持
支持用户自定义加密算法
GitHub地址:https://github.com/yinjihuan/...
示例代码:https://github.com/yinjihuan/...
monkey-api-encrypt没有发布到Maven中央仓库,只发布到jitpack这个仓库,大家也可以自行下载源码打包传到自己公司的私服上。
自动加解密的好处传统做法如下:
// 客户端传来的数据就是加密好的字符串 public String add(String data) { // 1. 通过工具类将数据解密,然后序列化成对象使用 // 2. 处理业务逻辑,数据返回的时候用工具类将数据加密返回给客户端 }
缺点是在每个业务方法中都要手动的去处理加解密的逻辑。
通过使用monkey-api-encrypt的话可以让开发人员不需要关注加解密的逻辑,比如:
@PostMapping("/save") public UserResult add(@RequestBody User data) { UserResult result = new UserResult (); result.setXXX.... return result; }
上面的代码跟平常写的一模一样,没有加解密的逻辑,需要对数据做加解密逻辑的时候,只需要配置一个过滤器,然后指定哪些URI需要加解密即可。下面来学习下如何使用monkey-api-encrypt。
快速使用下面以jitpack仓库示列
第一步:pom.xml中增加仓库地址
jitpack.io https://jitpack.io
第二步:增加项目依赖
com.github.yinjihuan monkey-api-encrypt 1.1.1
第三步:配置加解密过滤器(Spring Boot中配置方式)
@Configuration public class FilterConfig { @Bean public FilterRegistrationBeanfilterRegistration() { EncryptionConfig config = new EncryptionConfig(); config.setKey("abcdef0123456789"); config.setRequestDecyptUriList(Arrays.asList("/save", "/decryptEntityXml")); config.setResponseEncryptUriList(Arrays.asList("/encryptStr", "/encryptEntity", "/save", "/encryptEntityXml", "/decryptEntityXml")); FilterRegistrationBean registration = new FilterRegistrationBean (); registration.setFilter(new EncryptionFilter(config)); registration.addUrlPatterns("/*"); registration.setName("EncryptionFilter"); registration.setOrder(1); return registration; } }
EncryptionConfig
EncryptionConfig是加解密的配置类,配置项目定义如下:
public class EncryptionConfig { /** * AES加密Key,长度必须16 */ private String key = "d7b85f6e214abcda"; /** * 需要对响应内容进行加密的接口URI自定义加密算法
* 比如:/user/list
* 不支持@PathVariable格式的URI */ private ListresponseEncryptUriList = new ArrayList (); /** * 需要对请求内容进行解密的接口URI
* 比如:/user/list
* 不支持@PathVariable格式的URI */ private ListrequestDecyptUriList = new ArrayList (); /** * 响应数据编码 */ private String responseCharset = "UTF-8"; /** * 开启调试模式,调试模式下不进行加解密操作,用于像Swagger这种在线API测试场景 */ private boolean debug = false; }
内置了AES加密算法对数据进行加解密操作,同时用户可以自定义算法来代替内置的算法。
自定义算法需要实现EncryptAlgorithm接口:
/** * 自定义RSA算法 * * @author yinjihuan * * @date 2019-01-12 * * @about http://cxytiandi.com/about * */ public class RsaEncryptAlgorithm implements EncryptAlgorithm { public String encrypt(String content, String encryptKey) throws Exception { return RSAUtils.encryptByPublicKey(content); } public String decrypt(String encryptStr, String decryptKey) throws Exception { return RSAUtils.decryptByPrivateKey(encryptStr); } }
注册Filter的时候指定算法:
EncryptionConfig config = new EncryptionConfig(); registration.setFilter(new EncryptionFilter(config, new RsaEncryptAlgorithm()));常见问题 1. Spring Cloud Zuul中如何使用?
使用方式和Spring Boot中一样,没区别。
2. 如果需要所有请求都做加解密处理怎么办?默认不配置RequestDecyptUriList和ResponseEncryptUriList的情况下,就会对所有请求进行处理(拦截器指定范围内的请求)
3. Swagger测试接口的时候怎么处理?可以开启调试模式,就不对请求做加解密处理,通过配置debug=true
4. RequestDecyptUriList和ResponseEncryptUriList能否支持/user/*模式匹配?过滤器本身就有这个功能了,所以框架中是完全匹配相等才可以,可以通过过滤器的 registration.addUrlPatterns("/user/","/order/");来指定需要处理的接口地址。
欢迎加入我的知识星球,一起交流技术,免费学习猿天地的课程(http://cxytiandi.com/course)文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/73546.html
摘要:时隔多天,发布了第二个版本,还是要感谢一些正在使用的朋友们,提出了一些问题。配置文件可以在中使用可以在,中使用相同问题当存在两个相同的时,比如请求的和的请求。如果是使用的方式,框架会自动处理,会为每一个加上前缀来区分不同的请求方式。 时隔10多天,monkey-api-encrypt发布了第二个版本,还是要感谢一些正在使用的朋友们,提出了一些问题。 GitHub主页:https://g...
摘要:关于框架的使用文章请参考前后端交互如何保证数据安全性数据加密框架版本发布啦今天的主题是带领大家去了解框架的实现原理以及如何去封装一个框架,封装框架的时候需要考虑哪些东西。 关于框架的使用文章请参考: 前后端API交互如何保证数据安全性?:http://cxytiandi.com/blog/det... API数据加密框架monkey-api-encrypt:http://cxytian...
摘要:我们的目标是找出最有职业投资回报率的主题和技术。比特币在几年内增长了若干个量级。比特币倍拐点在这个图表中,每个箭头始于倍点,指向价格修正后的最低点。 showImg(https://segmentfault.com/img/remote/1460000017919159); 图:Jon Glittenberg Happy New Year 2019 (CC BY 2.0) 又到了一年的...
摘要:的很容易反映出常见的工作流程。权限检查是执行授权的另一种方式。在安全框架领域提供了一些独特的东西一致的会话,可用于任何应用程序和任何架构层。 Apache Shiro™是一个功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理。借助Shiro易于理解的API,可以快速轻松地保护任何应用程序 - 从最小的移动应用程序到最大的Web和企业应用程序。 1. Apache S...
阅读 499·2023-04-26 01:39
阅读 4331·2021-11-16 11:45
阅读 2562·2021-09-27 13:37
阅读 838·2021-09-01 10:50
阅读 3509·2021-08-16 10:50
阅读 2182·2019-08-30 15:55
阅读 2937·2019-08-30 15:55
阅读 2222·2019-08-30 14:07